§ 2

Rozporządzenie Ministra Cyfryzacji z dnia 10 marca 2020 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników

Dz.U. 2020 poz. 399

Treść przepisu

§ 2. 1. System teleinformatyczny służący do wydania certyfikatu wykorzystywanego przez podmioty publiczne do uwierzytelniania użytkowników spełnia następujące warunki techniczne i organizacyjne: 1) umożliwia wystawienie certyfikatu oraz jego wydanie użytkownikowi, dla którego został on wystawiony; 2) umożliwia niezwłoczne unieważnienie certyfikatu; 3) określa dokładny czas wystawienia i unieważnienia certyfikatu, zgodnie z czasem uniwersalnym koordynowanym UTC(PL); 4) potwierdza tożsamość użytkownika, któremu wydano certyfikat; 5) posiada zabezpieczenia na wypadek zagrożeń w zakresie bezpieczeństwa teleinformatycznego dobierane na podstawie szacowania ryzyka; 6) nie gromadzi ani nie kopiuje danych służących użytkownikom do potwierdzania tożsamości z wykorzystaniem certyfikatów. 2. System, o którym mowa w ust. 1, przechowuje dane dotyczące wystawionych certyfikatów przez okres 20 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym certyfikat został wystawiony. 3. Zapewnienie bieżącej poprawności i użyteczności funkcjonalnej systemu, o którym mowa w ust. 1, wymaga spełnienia następujących warunków technicznych i organizacyjnych: 1) dokonywania systematycznego przeglądu skuteczności zastosowanych środków zabezpieczeń na wypadek zagrożeń bezpieczeństwa teleinformatycznego, w celu wprowadzania ich usprawnień; 2) utrzymywania w aktualnym stanie dokumentacji operacyjnej i technicznej systemu, w celu zapewnienia jego bezpiecznej eksploatacji; 3) zapewniania organizacyjnego, technicznego i kryptograficznego bezpieczeństwa działania systemu; 4) prowadzenia działań zapobiegających fałszowaniu certyfikatów, w tym zapewniania poufności podczas procesu tworzenia danych do potwierdzania tożsamości użytkownika; 5) informowania osób ubiegających się o certyfikat o warunkach stosowania certyfikatu zawartych w polityce certyfikacji. 4. Warunki, o których mowa w ust. 1-3, zostały spełnione, gdy: 1) została wdrożona polityka certyfikacji spełniająca wymagania wskazane w normie PN-ETSI EN 319 411 lub nowszej; 2) zapewnione zostały warunki organizacyjne i techniczne zgodne z wymaganiami specyfikacji technicznej CEN/TS 419261 lub nowszej w zakresie świadczenia usług innych niż wydawanie certyfikatów kwalifikowanych; 3) zastosowane zostały systemy i produkty zgodne z wymaganiami specyfikacji technicznej CEN/TS 419221 lub nowszej. 5. Administrator systemu, o którym mowa w ust. 1, udostępnia deklarację o spełnieniu wymagań określonych w ust. 3 oraz politykę certyfikacji: 1) w Biuletynie Informacji Publicznej albo 2) na stronie internetowej administratora - w przypadku podmiotów niezobowiązanych do udostępniania informacji publicznej w Biuletynie Informacji Publicznej.

Źródło: Internetowy System Aktów Prawnych — ISAP (isap.sejm.gov.pl), pozyskano 12.07.2026. · PDF źródłowy